Datenschutz umfasst den Schutz einer Person vor der missbräuchlichen Verarbeitung ihrer persönlichen Informationen. Jede Person entscheidet selbst, ob und welche Daten verarbeitet werden. Einschränkungen jeglicher Art in diese Entscheidung, bedürfen einer Rechtsgrundlage. Das heißt: Die Verarbeitung von personenbezogenen Daten ist verboten, es sei denn, eine Rechtsgrundlage gestattet die Verarbeitung. Juristisch wird dieser Mechanismus: Verbot mit Erlaubnisvorbehalt genannt.

Die Datenschutzgrundverordnung (DSGVO) gilt seit Mai 2018 auch in Deutschland verbindlich und ist von allen Personen und Einrichtungen, die personenbezogene Daten verarbeiten, bindend. Daher hat auch die TU Hamburg diese Bestimmungen zu beachten. Das Hamburgische Datenschutzgesetz (HmbDSG) als auch das Hamburgische Hochschulgesetz (HmbHG) mit den hochschuleigenen Satzungen und Ordnungen ergänzen und konkretisieren die DSGVO.

Wichtig: Zu Beginn eines jeden Projektes oder bei dem Start eines neuen Vorhabens, zum Beispiel die Einführung einer neuen Software, ist die Datenschutzkoordination der Hochschule zu kontaktieren: datenschutz(at)tuhh(dot)de

Die DSGVO kommt ins Spiel, wenn in einem Arbeitsschritt oder Projekt personenbezogene Daten verarbeitet werden. Dann müssen auch datenschutzrechtliche Maßnahmen ergriffen werden. 

Personenbezogene Daten

Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder (mit Zusatzwissen) bestimmbaren natürlichen Person Das können schon folgende Angaben sein wie Name, Adresse, Geburtsdatum, Staatsangehörigkeit, Beruf, Titel, Konfession, Personalnummer, Matrikelnummer, Familienstand, Telefonnummer, Mailadresse, Beurteilungen, Zeugnisnoten und Bilder sowie biometrische Daten der Person.
Bestimmte personenbezogene Daten genießen besonderen Schutz. Das können folgende Angaben sein: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten wie die Krankmeldung und eine Behinderung. Diese Daten dürfen entweder gar nicht verarbeitet werden oder es werden besondere Auflagen für die Verarbeitung gemacht.

Verarbeitung

Die Verarbeitung personenbezogener Daten ist jeder Vorgang oder jede Vorgangsreihe mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO) und zwar über den gesamten „Lebenszyklus“ von Daten, z.B. die Erhebung, Speicherung, Nutzung, Weitergabe, Übermitteln, Anonymisierung, Löschung. Im Zweifel liegt eine Datenverarbeitung vor und der Datenschutz ist zu beachten.

Die DSGVO definiert denjenigen als Verantwortlichen, der über die Zwecke und Mittel einer Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). Dies ist zunächst die TU Hamburg, als Körperschaft des öffentlich Rechts, die durch ihren Präsidenten nach außen rechtlich vertreten wird. Aufgabe des Verantwortlichen (hier: die TU Hamburg) ist dafür sorgen, dass die DSGVO umgesetzt und eingehalten wird.

Folgende Konstellationen sind zu beachten:

• Für alle administrativen Verarbeitungen (in Verwaltung, Dekanate, Instituten und anderen Einrichtungen) ist die TU Hamburg verantwortlich. Innerhalb der TU Hamburg liegt die Beachtung des Datenschutzes bei den Fachverantwortlichen. Wobei es auch möglich ist, dass die Verantwortung geteilt wird. Beispiel: So liegt die Verantwortung für den datenschutzgerechten Betrieb von TUNE (Campus-Management-System) bei SLS und die datenschutzkonforme Umsetzung des IT-Betriebs bei dem Rechenzentrum.
• Mitarbeitende können persönlich zur Verantwortung gezogen werden, wenn Sie personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeiten oder durch unrichtige Angaben erschleichen und hierbei gegen Entgelt oder in der Absicht handeln, sich oder einen anderen zu bereichern oder einen anderen zu schädigen (§ 26 HmbDSG, Straftat). Nach § 27 HmbDSG kann zudem ein Bußgeld gegen die Person verhängt werden, wenn diese personenbezogene Daten für andere Zwecke verarbeitet, als für die sie übermittelt wurden (Ordnungswidrigkeit).
• Für die Forschung gilt, dass auch hier die datenschutzrechtlichen Bestimmungen beachtet und umgesetzt werden müssen. Die datenschutzrechtliche Verantwortlichkeit muss für jedes Vorhaben gesondert geprüft werden.
• Bei studentischen Prüfungs- und Studienleistungen liegt die Verantwortung für den Datenschutz grundsätzlich beim Studierenden.
• Die Studierendenschaft ist eine rechtsfähige Gliedskörperschaft der Hochschule. Sie nimmt ihre Angelegenheiten selbst wahr und ist für die Einhaltung der Rechten und Pflichten derDSGVO selbst verantwortlich.

Ein Irrglaube der an den Hochschulen weit verbreitet ist: Öffentliche Stellen (und damit auch die Hochschulen) sind durch das Hamburgische Datenschutzgesetz von der Bußgeldandrohung der DSGVO zwar ausgenommen (§ 24 Abs. 3 HmbDSG), allerdings gibt es über das Bußgeld hinaus weitere Reaktionsmöglichkeiten, die der Aufsichtsbehörde gegenüber einer Hochschule zur Verfügung stehen und sogar kumulativ Anwendung finden können. Art. 58 Abs. 2 DSGVO nennt zehn Abhilfebefugnisse, unter anderem Warnungen, Verwarnungen, Anweisungen, Beschränkungen, Anordnungen bis hin zum Widerruf von Zertifizierungen. Die Abhilfebefugnisse variieren nach Schwere und Dauer des Verstoßes. Somit kann auch eine Hochschule vor enormen Problemen stehen.

Nimmt die TU Hamburg aber am Wettbewerb teil, kann eine Geldbuße vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit verhängt werden. Dieser Umstand ist im Einzelfall zu begutachten. 

Des Weiteren kann gegen die TU Hamburg ein Schadenersatzanspruch (Art. 82 DSGVO) geltend gemacht werden, sofern jemandem ein finanzieller Schaden durch die Datenschutzverletzung der Hochschule entsteht. Im Rahmen des Arbeits- und Dienstrechts kann die Hochschule intern die verfahrens-/ fachverantwortliche Person in Regress nehmen.

Abgesehen davon kann ein sorgloser Umgang mit personenbezogenen Daten für die TU Hamburg zu massiven Reputationsschäden führen.

Die Verantwortlichkeiten an der TU Hamburg:

1. Hochschulleitung/Präsidium: Die Hochschulleitung trägt die Gesamtverantwortung für die Einhaltung des Datenschutzes. Sie trägt durch ihre Entscheidungen dem Organisationsziel Rechnung und stellt im Rahmen der bereitgestellten Haushaltsmittel die erforderlichen finanziellen, personellen und zeitlichen Ressourcen für die Umsetzung des Datenschutzes zur Verfügung. Die Hochschulleitung trägt dafür Sorge, dass Mitglieder und Angehörige der TU Hamburg durch Informationsangebote oder Schulungen für den Datenschutz und die Sicherheit personenbezogener Daten sensibilisiert werden.
2. Datenschutzkoordination: Um den Datenschutz an der TU Hamburg flächendeckend umzusetzen, gibt es eine Datenschutzkoordination. Im Auftrag der Hochschulleitung stimmt die Datenschutzkoordination die Maßnahmen, die zur Einhaltung des Datenschutzes und der darüberhinausgehenden gesetzlichen Regelungen, ab. Die Datenschutzkoordination ist daher mit der Entscheidungs- und Vollzugskompetenz in datenschutzrechtlichen Belangen ausgestattet. Anfragen an die Datenschutzkoordination richten sie bitte unter: datenschutz(at)tuhh(dot)de
3. MMKH: Das Multimedia Kontor Hamburg unterstützt die TU Hamburg bei der Einhaltung der gesetzlichen Vorgaben zum Datenschutz. Das bedeutet, die Beschäftigten der TU Hamburg werden durch das MMKH durch datenschutzrechtliche Schulungen sensibilisiert und erhalten bei datenschutzrechtlichen Einzelanfragen Unterstützung. Bei der Erstellung des Datenschutzkonzeptes hat das MMKH mitgewirkt.
4. Behördliche Datenschutzbeauftragte: Die TU Hamburg hat einen externen behördlichen Datenschutzbeauftragten benannt, die datenschutz nord GmbH (dsn). dsn wird bei übergreifenden Datenschutzthemen, wie Datenpannen (Datenschutzverletzung), Betroffenenanfragen sowie insbesondere dem Beschäftigtendatenschutz herangezogen. Anfragen an den behördlichen Datenschutzbeauftragten richten Sie bitte unter: office(at)datenschutz-nord(dot)de.
5. Fachverantwortliche/Führungskräfte: Jede Führungskraft trägt, ausgehend von der fachlichen Verantwortung, die Verantwortung für den Datenschutz in ihrem Aufgabenbereich. Führungskräfte übernehmen eine Vorbildfunktion und sind im Hinblick auf den Datenschutz dafür verantwortlich, Maßnahmen in ihrem Bereich umzusetzen, aufrecht zu erhalten und bei Bedarf an neue rechtliche, technische und organisatorische Gegebenheiten anzupassen. Durch Informationen und Schulungen des MMKH können Führungskräfte zur datenschutzrechtlichen Sensibilisierung der Beschäftigten beitragen.
6. Datenschutzmultiplikator*innen: Eine zentrale Rolle im Datenschutzkonzept der TU Hamburg nehmen die Datenschutzmultiplikator*innen ein. Diese haben die Aufgabe in ihren Bereichen die erste Anlaufstelle zur Datenschutzkoordination zu sein. Sie kanalisieren die datenschutzrechtlichen Anliegen und bereiten diese auf. Der Einsatz Datenschutzmultiplikatoren für den Bereich Datenschutz ist notwendig, um die Vielzahl an Verfahren möglichst flächendeckend zu erfassen und eine Sensibilisierung in den jeweiligen Bereichen zu erreichen. Zum Aufbau und Erhalt eines datenschutzrechtlichen Know-How werden die Datenschutzmultiplikator*innen regelmäßig geschult und es finden regelmäßige Treffen zum Erfahrungsaustausch mit der Datenschutzkoordination/MMKH statt.
7. Beschäftigte an der TU Hamburg: Die Beschäftigten nehmen die angebotenen Informations- und Schulungsangebote wahr und verarbeiten personenbezogenen Daten nur im Rahmen der ihnen übertragenen Aufgaben. Sie achten darauf, dass nur Berechtigte auf die von ihnen verwalteten personenbezogenen Daten Zugriff haben. Sie haben Regelverletzungen oder Sicherheitslücken unverzüglich dem Vorgesetzten, dem behördlichen Datenschutzbeauftragten oder der Datenschutzkoordination mitzuteilen.

Alle Beschäftigten haben im Rahmen ihres Beschäftigtenverhältnisses den Datenschutz im Arbeitsalltag zu berücksichtigen. Hier ein paar einfache Regeln, die helfen, ein Mindestmaß an Datenschutz im Arbeitsalltag zu gewährleisten:

• Beim Verlassen des Büros den PC sperren und die Tür verschließen (Sperren geht auf Windows Rechnern  am schnellsten mit der Tastenkombination „Windows-Taste“ + „L“)
• Schlüssel zum Büro, Schreibtisch usw. sicher verwahren
• Schlüssel nicht mit Aufschriften oder Anhängern kennzeichnen, aus denen hervorgeht, zu welchem Schloss diese passen (farbliche Markierungen helfen, mehrere Schlüssel schnell richtig zuzuordnen, die im Verlustfall für Dritte jedoch keinen Informationswert besitzen.)
• Unterlagen mit personenbezogenem Inhalt bei Abwesenheit unter Verschluss halten (Schrank statt auf demSchreibtisch)
• Besucher sollten keine „fremden“ personenbezogenen Daten zur Kenntnis nehmen können, darauf ist zu achten.
• keine Papier-Fehlkopien mit personenbezogenem Inhalt in den Papierkorb neben den Kopierer entsorgen
• Follow Me Printing wird empfohlen
• Unterlagen mit personenbezogenen Daten, die nicht mehr benötigt werden, vom übrigen Papierabfall getrennt sammeln und alsbald vernichten (Schredder bzw. Aktenvernichtung – dabei sind die Aufbewahrungsfristen zu beachten)
• keinem Unbefugten Zugriff auf Ihren Arbeitsplatz-PC und Fachanwendungen gewähren
• darauf achten, dass der Bildschirm so ausgerichtet ist, dass ein Unbefugter/Besucher die Daten auf dem Bildschirm nicht lesen kann
• Anmeldenamen und Passwort nicht weiter geben
• passwortgeschützte Bildschirmschoner einsetzen
• Passwörter sorgfältig auswählen, geheim halten und nicht aufschreiben
• nur die personenbezogenen Daten verarbeiten, die für die jeweilige Aufgaben benötigen werden
• regelmäßig prüfen, welche Daten nicht mehr benötigen werden und diese dann löschen
• möglichst keine personenbezogenen Daten auf der lokalen Festplatte des PCs speichern
• personenbezogene Daten nur dann auf Datenträger (CD-ROMs, USB-Sticks etc.) kopieren, wenn dies unumgänglich ist
• Datenträger (CD-ROMs, USB-Sticks usw.) verschlossen aufbewahren
• „alte“ oder defekte Datenträger (Disketten, CD-ROMs, USB-Sticks usw.) nicht einfach wegwerfen, sondern diese ordnungsgemäß entsorgen
• die Standardsoftware nicht dazu benutzen, Eigenentwicklungen ohne Genehmigung zu programmieren
• keine private Software oder private Datenträger mitbringen
• keine unbekannten zusätzlichen Rechner (mobile oder stationäre) an das Netzwerk anschließen
• personenbezogene Daten niemals unverschlüsselt per E-Mail versenden
• nicht mehr benötigte Emails löschen (auch aus dem „Papierkorb“ des E-Mail-Programmes)

Die Technische Universität Hamburg (TUHH) bietet ihren Mitarbeiter*innen an, Dienst an einem anderen Ort zu beantragen. Da auch bei der Verrichtung der dienstlichen Tätigkeiten im Dienst an einem anderen Ort der Datenschutz beachtet werden muss, stellen wir Ihnen Regelungen vor, die es zu beachten gilt:

1. Dienstliche Daten: Dienstliche Daten sind ausschließlich in einem geschützten Umfeld und nicht in der Öffentlichkeit zu bearbeiten. Auch hier gilt: Schützen Sie dienstliche Daten gegen unbefugten Zugriff:

• Keinen Fremdeinblick auf den Bildschirm
• Sperrung des Gerätes bei Nichtgebrauch
• VPN-Verbindung nach Arbeit beenden und Passwort nicht fest speichern oder gar auf das Gerät „kleben“, um den Zugriff unbefugter Dritter auf dienstliche Daten zu verhindern
• Sichere Verwahrung von Unterlagen

2. Umgang mit Akten: Bevor Sie Akten an einem mobilen Arbeitsplatz bearbeiten wollen, überlegen Sie, ob eine Mitnahme von Akten bzw. Papierdokumenten zwingend notwendig ist. Eine Mitnahme ist Ihrerseits gegebenenfalls zu dokumentieren und mit dem/der Dienstvorgesetzten abzustimmen. Es ist der kürzeste Weg zwischen der Dienstelle und dem mobilen Arbeitsplatz zu wählen. Akten, die vertrauliche Daten enthalten, sollten nur dann mitgenommen werden, wenn dies aus Gründen der Arbeitsorganisation unter den gegenwärtigen Bedingungen unbedingt erforderlich ist. Originale sollten möglichst an der TUHH verbleiben. Auch am mobilen Arbeitsplatz sind Papierakten wegzuschließen. Die Aktenordnung der TUHH ist zu beachten.

3. Nutzung privater Endgeräte: Für den Fall, dass Sie Ihre dienstliche Tätigkeit im Dienst an einem anderen Ort an einem privaten Rechner betreiben, schauen Sie sich bitte die ausführlichen Hinweise des RZ an.

• Zur Speicherung Ihrer Daten stehen Ihnen wie gewohnt die Netzlaufwerke der TUHH zur Verfügung. Sollten diese aus technischen Gründen einmal nicht erreichbar sein, denken Sie bitte daran, dass eine dauerhafte Speicherung von dienstlichen Daten auf privaten Endgeräten nicht gestattet ist.

4. Umgang mit E-Mails: Verwenden Sie für dienstliche E-Mail-Kommunikation bitte  ausschließlich die E-Mail-Adresse(n) der TUHH. Aus rechtlichen Gründen ist eine permanente Weiterleitung von dienstlichen E-Mails an private Anbieter wie Gmail, GMX, web.de etc. nicht gestattet.

5. Telefonische Erreichbarkeit und Weiterleitung des Diensttelefons auf einen privaten (mobilen) Anschluss: Für die dienstliche Arbeit ist es notwendig, telefonisch erreichbar zu bleiben. Was tun, wenn man kein mobiles Dienstgerät besitzt? Bei der Weiterleitung des Diensttelefons auf einen privaten (mobilen) Anschluss ist Folgendes zu beachten:

• Achten Sie bei Telefonaten in der Öffentlichkeit (z.B. ÖPNV, Balkon etc.) darauf, keine vertraulichen Gespräche oder Gespräche über die TUHH zu führen
• Sobald TUHH-Mitarbeitende mit ihrem Diensttelefon Ihre Durchwahl anrufen, erscheint bei eingerichteter Weiterleitung auf Ihr privates Mobiltelefon automatisch Ihre private Mobilfunknummer auf dem Display von dem Diensttelefon des Anrufenden
• Mit den NGN-Telefonen der TUHH kann über das Internet ein Anrufbeantworter bedient werden. Ebenfalls über das Internet ist auch das Telefon zu konfigurieren (z.B. die Einrichtung von Rufumleitungen). Damit die Anwendungen nicht missbraucht werden können, sind diese mit einer persönlichen PIN zu schützen. Bitte ändern Sie, wenn nicht bereits passiert, die Initial-PIN.  Achten sie ebenfalls darauf, möglichst nicht private Namen und Telefonnummern auf den TUHH-Geräten abzuspeichern. Ausführliche Hinweise finden Sie hier.

6. Mobiles Arbeiten: Mobile Arbeit soll im Interesse von Dienststelle und Beschäftigten Möglichkeiten zur Flexibilisierung der Arbeitsorganisation schaffen. Beschäftigte haben die Möglichkeit, das Angebot der Mobilen Arbeit unter bestimmten Voraussetzungen in Anspruch zu nehmen. Regelungen finden Sie hier (Antragsformular Mobile Arbeit). Wenn Sie in mobiler Arbeit personenbezogene Daten verarbeiten, organisieren Sie Ihren mobilen Arbeitsplatz so, dass Unbefugte keinen Zutritt, Zugang oder Zugriff auf personenbezogene Daten erhalten.

Auch im Dienst an einem anderen Ort ist es wichtig, die Sicherheit der personenbezogenen Daten zu gewährleisten (Artikel 32 DSGVO) und demzufolge alle erforderlichen und verhältnismäßigen Maßnahmen hierfür zu ergreifen. Vereinfacht gesagt dürfen personenbezogene Daten auch im Dienst an einem anderen Ort nicht abhandenkommen (Verfügbarkeit), nicht verfälscht werden (Integrität) und nur von denjenigen eingesehen bzw. verarbeitet werden, die dazu auch befugt sind (Vertraulichkeit).
Sollten Sie Fragen zum Datenschutz im Dienst an einem anderen Ort haben, können Sie gerne die Datenschutzkoordination der TUHH kontaktieren.

Folgende Aspekte muss bei jeder Verarbeitung von personenbezogenen Daten berücksichtigt werden:

• Die Verarbeitung benötigt eine Rechtsgrundlage.
• Es müssen die weiteren Grundsätze für die Verarbeitung von personenbezogenen Daten erfüllt werden.

Neben der Rechtmäßigkeit gehören zu den Grundsätzen für die Verarbeitung von personenbezogenen Daten noch die Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und die Rechenschaftspflicht.

Wie dieses Paket aus Grundsätzen im Rahmen einer Verwaltungstätigkeit, eines Forschungsprojektes oder eines anderen Anlasses an der TU Hamburg berücksichtigt werden kann, zeigen die folgenden Punkte.

(1) Informationspflichten

Zum Zeitpunkt der Verarbeitung von Daten sind betroffene Personen entsprechend des Art. 12 ff. der DSGVO zu informieren. Die Datenschutzerklärung einer Webseite hat zum Beispiel in erster Linie das Ziel, dieser Informationspflicht nachzukommen.

Tipp: Worüber informiert werden muss und wie dieser Verpflichtung bestmöglich nachgekommen werden kann, finden sie hier: https://hh-datenschutz.de/infothek

(2) Rechtsgrundlage

Eine zulässige Verarbeitung kann durch eine Einwilligung oder eine gesetzliche Rechtsgrundlage vorliegen.

Einwilligung

Die Verarbeitung kann auch durch eine freiwillige Einwilligung von Betroffenen möglich werden (bspw. zur Aufzeichnung von Videokonferenzen, Newsletter oder bei Forschungsvorhaben). Die Einwilligung ist an konkrete Vorgaben aus der DSGVO gestützt.

Tipp: Eine Mustereinwilligungserklärung existiert nicht. Da ein Muster kaum für alle Fälle eindeutig verfasst werden kann. Unter dem folgenden Link ist eine kurze Anleitung zu finden, damit eine Einwilligungserklärung datenschutzfreundlich gelingen kann: https://hh-datenschutz.de/infothek

Gesetzliche Rechtsgrundlage

Ein großer Teil der Verarbeitung personenbezogener Daten an der TU Hamburg erfolgt allerdings nicht aufgrund einer erteilten Einwilligung, vielmehr ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 Buchstabe e DSGVO). Die öffentliche Aufgabe wird hier durch §§ 3, 4 HmbHG definiert. Weitere Regelwerke wie dem Hamburgischen Datenschutzgesetz (HmbDSG), den Satzungen der TU Hamburg, oder Regelungen aus dem Landesbeamtengesetz, Tarifverträgen oder Dienstvereinbarungen und/oder Dienstanweisungen können hier gesetzliche Rechtsgrundlagen darstellen.

Tipp: Fragen zur Rechtsgrundlage können Sie an datenschutz(at)tuhh(dot)de richten.

(3) Verzeichnis von Verarbeitungstätigkeiten - VVT

Die DSGVO verpflichtet den Verantwortlichen dazu, eine Dokumentation und Verfahrensübersicht über die Verarbeitung von personenbezogenen Daten, die an der TU Hamburg erfolgen, zu führen. In diesem „Verzeichnis von Verarbeitungstätigkeiten“ (VVT) müssen alle wesentlichen Angaben über die Datenverarbeitung aufgeführt werden. Beispiele für dokumentationswürdige Verarbeitungstätigkeiten sind

• Verwaltung von Studierendendaten
• Immatrikulationsprozess
• Prüfungsverwaltung
• Forschungsdatenerhebung
• Verwaltung von Daten der Ausleihenden für Geräte im Fachbereich
• Verwaltung der Nutzerkonten der Hochschulbibliothek
• Verabschiedung von Absolvent*innen
• Teilnehmende an einem Kurs (insbesondere Teilnehmerverwaltung, Zusendung von Teilnamebescheinigungen, Auswertung der Teilnahme etc.)
• Teilnehmende an einer Exkursion
• Personalaktenführung

(4) Frühes Einbinden des/der Datenschutzkoordinator*in oder eines Multiplikators

Die Datenschutzkoordination der TU Hamburg ist frühzeitig, d.h. bereits bei der Planung eines Einsatzes einer neuer Verarbeitungstätigkeit miteinzubeziehen. Dadurch können datenschutzrechtliche Aspekte von Anfang an berücksichtigt werden, wie z.B.

• bei der Verarbeitung "besonderer Kategorien" personenbezogener Daten lt. Art. 9 DSGVO (dies sind z.B. Gesundheitsdaten, Daten über politische Meinungen, ethnische Herkunft, biometrische Daten, ...)
• bei dem Umgang mit großen Mengen an personenbezogenen Daten oder
• wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen könnte.

Daher Mail an: datenschutz(at)tuhh(dot)de

Betroffene können ihre Rechte aus der DSGVO gegenüber der TUHH geltend machen (Rechte der betroffenen Person). Diese sind das Recht auf Auskunft, das Recht auf Löschung, Einschränkung und Berichtigung, das Recht auf Datenübertragbarkeit, das Recht auf Auskunft sowie ihr Widerspruchsrecht gegen eine zuvor erteilte Einwilligung geltend zu machen. Betroffenen können ihrem Recht per E-Mail nachkommen, es kann aber auch passieren, dass eine telefonische Anfrage Sie erreicht.

Beispiele für eine sog. Betroffenenanfrage:

• „Ich habe eine Frage bzgl. Datenschutz“
• „Ich möchte etwas zum Umgang mit meinen Daten wissen“
• „Woher haben Sie meine Daten?“
• „Bitte löschen Sie meine Bewerbungsunterlagen“
• „Bitte berichtigen Sie folgende Angaben zu meiner Person“
• Person droht mit Anwalt, Abmahnung oder Meldung an die Datenschutzbehörde
• Person fragt nach dem Datenschutzbeauftragten der TUHH

Was ist zu tun?

• Keine vorschnelle Reaktion
• Keine unkontrollierte Datenherausgabe
• Sondern: Kontaktieren Sie umgehend datenschutz(at)tuhh(dot)de

Sollte es zu einer Datenschutzpanne (Datenschutzverletzung) kommen, ist die TU Hamburg dazu verpflichtet, diese Panne der Datenschutzbehörde binnen 72 Stunden zu melden. Es kommt auch in Betracht, dass der Vorfall der betroffenen Person mitgeteilt werden muss, Art. 33, 34 DSGVO.

Beispiele für eine Datenschutzverletzung:

• ein verlorengegangener USB-Stick, unverschlüsselt, sofern personenbezogene Daten enthalten sind
• versendete E-Mail mit falschem Anhang
• liegengelassener Dienstrechner (am Bahnhof/Flughafen/im Bus o.ä.)
• der Versand von E-Mails an einen größeren Empfängerkreis ohne Verwendung der BCC-Funktion
• Entsorgung von vertraulichen Unterlagen/Dokumenten im Papiermüll

Eine Datenpanne ist über diese E-Mail: datenpanne@tuhh.de mitzuteilen.

Um umgehend die Melde- und Benachrichtigungspflichten einzuhalten werden folgende Angaben benötigt:

• eine Beschreibung der Art der Verletzung, der Kategorien und ungefähre Anzahl der betroffenen  Personen und Datensätze,
• Name und Kontaktdaten eines Ansprechpartners für weitere Informationen,
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
• eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

Die Situation wird bewertet und Sie erhalten in jeden Fall eine Rückmeldung.
Vielen Dank für Ihren Beitrag.

Die TU Hamburg arbeitet eng mit dem MMKH zusammen. Das MMKH bietet Informationen rund um das Thema „Datenschutz in der Hochschule“ und unterstützt die TU Hamburg und weitere Hamburger Hochschulen bei allen Fragen rund um das Thema Datenschutz.

Schulungen!

Der Besuch einer Grundlagenschulung im Datenschutz wird allen (neuen) Mitarbeitenden empfohlen. Neben den Grundlagen-Schulungen im Datenschutz bietet das MMKH weitere Schulungen im Hochschulkontext an. Informationen hier: https://www.mmkh.de/schulungen/datenschutz.html

Das Schulungs-Angebot ist kostenfrei.

Tipp: Vertiefende Hinweise und Informationen zum Thema Datenschutz an den Hamburger Hochschulen sind unter: www.hh-datenschutz.de zu finden.

Wenden Sie sich bitte an: office@datenschutz-nord.de

Werden Einwilligungserklärungen oder Datenschutzerklärungen für Ihr Projekt oder Ihre Webseite benötig, finden Sie hier weitere Informationen: www.hh-datenschutz.de

Bitte vor dem finalen Einsatz von Muster und Vorlagen zum Datenschutz diese durch datenschutz(at)tuhh(dot)de freigeben lassen.

• Die „BCC“ Funktion nutzen! Soweit datenschutzrechtlich geboten, ist die Anonymität der Empfänger*innen durch den Gebrauch der „BCC“-Funktion untereinander zu wahren. Warum? Bei der Angabe vieler Empfangsadressen in einer E-Mail im “An”- oder “CC”-Feld werden zum einen jede einzelnen E-Mail Adresse (name.vorname) allen Empfänger*innen angezeigt. Zum anderen werten einige E-Mailprovider E-Mails mit einer langen Empfängerliste zudem als SPAM und markieren die E-Mail dementsprechend. Daher ist stets darauf zu achten, dass, bei E-Mails, bei denen für die Empfänger nicht von Belang ist, wer diese E-Mail noch erhalten hat, das “BCC”- oder “Blindkopie”-Feld zu verwenden. Die E-Mail lässt sich dann auf Empfangsseite auch häufig kompakter darstellen. Bei einer Vielzahl externer Empfängerinnen und Empfängern ist stets die “BCC”-Funktion zu verwenden
• Keine Mails an private Mails weiterleiten! Keine automatisierte Weiterleitung von dienstlichen Mails an private Mailaccounts. Warum? Im dienstlichen Kontext gefährdet die Verarbeitung dienstlicher E-Mails in privaten Mailboxen eindeutig die Vertraulichkeit des E-Mailinhaltes. Außerdem besteht die Gefahr, dass Dienstgeheimnisse über einen solchen Kanal abfließen
• Vorsicht bei: "Antwort an alle"
• Betreff möglichst neutral halten und keine Angaben zu Personen

Hin und wieder werden auf Webseiten externe Links eingebunden. Folgen Sie einem externen Link, werden Sie auf sog. Drittinhalte weitergeleitet. Dabei werden Daten von Ihrem Computer an Server des Anbieters der verlinkten Inhalte übertragen. Die TU Hamburg hat keinen Einfluss darauf, dass der Betreiber der externen Webeseite die Datenschutzbestimmungen einhalten. Das passiert auch, wenn Sie in einer E-Mail aufgefordert werden, an einer Umfrage teilzunehmen oder zu einer Veranstaltung eingeladen werden, für die vorab eine Onlineregistrierung notwendig ist. Klicken Sie hier den in der E-Mail eingebunden Link an, werden Sie auf eine externe Seite weitergeleitet. An dieser Stelle werden aber nicht nur Daten von Ihrem Computer an den Server des Anbieters der externen Seite weitergeleitet, zusätzlich geben Sie meist noch weitere personenbezogene Daten bei dem Befüllen der Formularfelder preis. Werden hierfür auch noch Tools wie Google Forms verwendet,  besteht das Risiko einer Datenübermittlung in die USA, einem unsicheren Drittstaat. Nutzen Sie bitte weder Google Forms noch Google Docs oder Google Drive für personenbezogene Daten!

Um Risiken der TU Hamburg gering zu halten und um Klarheit über die Verantwortung darzustellen, gilt daher: Kennzeichnen Sie bitte alle externen Links deutlich und nutzen für die Abwicklung von Umfragen oder für die Veranstaltungsorganisation Tools die über das Rechenzentrum der TU Hamburg laufen.

Tipp: Wollen Sie externe Links einbinden aber wissen nicht, ob es möglich ist? Kontaktieren Sie bitte datenschutz(at)tuhh(dot)de

Sind Beschäftigte krankheitsbedingt abwesend, ist es häufig notwendig, Kolleginnen und Kollegen über die Abwesenheit zu informieren, da Umorganisationen im Team oder die Übernahme von Aufgaben erforderlich sein können.

Krankheitsdaten sind besonders schützenswerte Daten und müssen deshalb auch besonders sensibel behandelt werden. Bei der Kommunikation im Team über den krankheitsbedingten Ausfall ist daher besondere Achtsamkeit gefragt.

Hierbei sollten insbesondere Vorgesetzte oder Sekretariate Folgendes beachten:

• Abwesenheit sollte intern (am Institut, in der Arbeitsgruppe) nur kommuniziert werden, wenn es dienstlich notwendig ist - was wahrscheinlich in den meisten Fällen der Fall ist. Ob ein Beschäftigter krank, auf Kur oder im Urlaub ist, sollte zumindest nicht von der Leitung kommuniziert werden.
• Die voraussichtliche Länge der Abwesenheit darf - falls dienstlich notwendig - kommuniziert werden.
• Wird die Abwesenheit z.B. in gemeinsame Kalender eingetragen, so sollten wegen der Speicherung der Daten die Hinweise für Personalverwaltungssysteme berücksichtigt werden,
• Werden Abwesenheiten durch Aushang am Büro kommuniziert (um z.B. auch Publikumsverkehr zu informieren), so ist auch hier der Grund der Abwesenheit nicht zu nennen.
• Was die betroffenen Beschäftigten selbst an die Kolleg*innen kommunizieren, unterliegt der eigenen Verantwortung.

Je nach dem sozialen Gefüge im Team können diese Regelungen übertrieben wirken, gerade wenn das Team untereinander sehr offen auch über Krankheiten spricht. Dennoch kann nie davon ausgegangen werden, dass alle Teammitglieder eine offene Einstellung zum lockeren Umgang mit Krankheitsdaten teilen (z. B. beim Vorliegen einer schweren Erkrankung).

Tipp: Die Kommunikation bei Abwesenheit zwischen Vorgesetzten und Teammitgliedern sollte im Vorfeld geklärt werden. Vorgesetzte sind auf die Einhaltung der Regelungen und auf einen vertraulichen Umgang mit Krankheitsdaten verpflichtet.

Gestaltet Ihr Institut oder Projekt eine eigene Webseite, die an der TU Hamburg gehostet werden soll? Bitte beachten Sie dieses Dokument. Zusätzlich gelten folgende Regeln:

• Die Webseite sollte ausschließlich verschlüsselt zu erreichen sein. (Für die Typo3- und Wordpress-Websites des RZ ist dies bereits Standard.)
• hinreichende Datenschutzerklärung sowie Impressum (Für die Typo3- und Wordpress-Websites des RZ wird beides standardmäßig angelegt, muss jedoch noch durch Sie eergänzt werden - s.u.)
• Auf die externe Einbindung externer Webservices (wie z.B. Bootstrap, jquery, AWS, GoogleWebFonts, GoogleMaps) sollte verzichtet werden.
• Cookie-Consent-Banner sind Pflicht, wenn Cookies gesetzt werden (Handreichung Cookie-Consent-Banner)
• Kein Einsatz von Google Analytics
• Keine Social Media-Plugins/Social Sharing Buttons
• Sorgfalt bei der Auswahl von externen Webhostern/Webprogrammierern: Auftragsverarbeitung
• Dokumentation der Verarbeitung im Verarbeitungsverzeichnis

Tipp: Haben Sie vor, weitere Tools in Ihre Webseite einzubinden? Halten Sie Rücksprache über datenschutz(at)tuhh(dot)de.

Mitarbeiter*innen der TU können in der Kontaktdatenbank freiwillig über die Benutzereinstellungen ein persönliches Profilbild hochladen sowie Sprechzeiten oder auch Abwesenheiten (zum Beispiel Elternzeit) angeben. Bitte berücksichtigen Sie, dass sowohl die Angabe von konkreten Abwesenheitsgründen als auch das Hochladen eines Profilbildes nicht notwendig und auch nicht datenschutzkonform ist.

Bitte berücksichtigen Sie zudem, dass ihre Angaben eventuell weltweit über das Internet abrufbar sind - die Informationen aus der Kontaktdatenbank werden in der Personensuche der TUHH-Website sowie über Plugins in Typo3 ausgegeben. Sie können selbst entscheiden, welche Ihrer Daten aus der Kontaktdatenbank angezeigt werden und ob diese nur TUHH-/FHH-intern sichtbar sein sollen. DVBs und Leitungen in den Organisationseinheiten haben zudem die die Möglichkeit, Mitarbeiter*innen, die länger abwesend sind oder nur zeitweise an der TUHH sind, ganz auszublenden.

Einige Institute/Projekte/Organisationseinheiten pflegen die Kontaktinformationen, Abwesenheiten und Fotos der Mitarbeiter*innen händisch in Typo3 (oder in anderen CMS wie z.B. Wordpress). In diesem Fall ist die Organisationseinheit verpflichtet, dies datenschutzrechtlich abzuklären.

Im Zusammenhang mit der DSGVO wird oft gefragt, wie ein korrektes Impressum auszusehen hat. Sofern ihre Webseite an der TU Hamburg gehostet wird, bitte das Impressum unter der Berücksichtigung folgender Punkte einbinden:

Erreichbarkeit des Impressums: Die Platzierung des Impressums ist genauso wichtig wie die inhaltliche Gestaltung. Es ist darauf zu achten, dass der Webseitennutzer das Impressum schnell findet und immer aufrufen kann.

Inhaltliche Gestaltung: Im Sinne des § 5 Digitale-Dienste-Gesetz (DDG) sind für die TU Hamburg folgende Angaben aufzuführen:

Adresse:
Technische Universität Hamburg (TU Hamburg)
Am Schwarzenberg-Campus 1
21073 Hamburg

E-Mail:
pressestelle@tuhh.de

Rechtsform:
Körperschaft des öffentlichen Rechts

Gesetzlicher Vertreter:

der Präsident der TU Hamburg, z. Zt. Prof. Dr. Andreas Timm-Giel

Zuständige Aufsichtsbehörde:

Behörde für Wissenschaft, Forschung, Gleichstellung und Bezirke
der Freien und Hansestadt Hamburg
Hamburger Straße 37
22083 Hamburg

Umsatzsteuer-Identifikationsnummer:
DE 245 980 291

Herausgeber (Verantwortlich für den Inhalt gem. § 18 MStV):
[Vorname, Nachname]
[Dienstanschrift]
[E-Mailadresse]

Tipp: Achtung, die Angabe des Herausgebers/Herausgeberin ist für jedes Institut, Dekanat, Einrichtung individuell anzupassen! Es handelt sich um eine erforderliche Zusatzangabe, die vor allem bei journalistisch geprägten Angeboten notwendig ist. Hier ist die inhaltlich verantwortliche Person zu nennen.

Soziale Medien sind auch aus dem Hochschulberiech nicht mehr wegzudenken. Sie dienen den Hochschulen als Informationskanäle und zum gegenseitigen Austausch von Meinungen unter Studierenden, Lehrenden und Mitarbeitern. Falls das jeweilige  Institut, Dekanat o.ä. ein eigenes Profil anlegen möchte, sind folgende Aspekte zu beachten:

Social Plugins/Social Sharing Buttons:

Das direkte Einbinden eines solchen Social Plugins/Social Sharing Buttons ist datenschutzrechtlich problematisch, da schon bei dem Besuch einer Webseite, die diesen Button enthält, personenbezogene Daten des Besuchers (z. B. die IP-Adresse, Browserversion etc.) an die Betreiber von sozialen Netzwerken (in der Regel immer bei Facebook, Google) übermittelt werden.

Die Datenübermittlung erfolgt sogar unabhängig davon, ob der Nutzer auf den „Gefällt-Mir-Button“ geklickt hat oder nicht. Das bedeutet am Ende, dass auch diejenigen Nutzer ihre Daten übermitteln, die selbst gar keinen Account bei Facebook und Co. besitzen. Die TU Hamburg ist als Diensteanbieter datenschutzrechtlich verantwortlich für das Einbinden von Social Plugins auf ihren Internetseiten. Das bedeutet, dass sie die Nutzer vollumfänglich über Art, Zweck und Umfang der Verarbeitung ihrer personenbezogenen Daten zu informieren hat. Diese Pflicht wird die TU Hamburg jedoch kaum erfüllen können, da die Betreiber der sozialen Netzwerke genau darüber weder ausreichende noch vollständig verlässliche Informationen preisgeben.

Bei dieser Sachlage wäre das Einbinden eines Social Plugins nicht datenschutzkonform und somit unzulässig. Aus diesem Grund verzichtet die TU Hamburg generell auf das Einbinden von Social Plugins. Als datenschutzfreundliche Alternative kann – beispielsweise über ein Facebook-Icon – ein externer Link gesetzt werden, der dann auf die entsprechende „Fanseite“ verweist.

Datenschutzerklärung und Impressum:

Die allgemeine Impressumspflicht nach dem TMG gilt auch für öffentliche „Fanseiten“ auf Facebook (o. ä. sozialen Netzwerken). Ein fehlendes oder unvollständiges Impressum kann Konsequenzen nach sich ziehen. Auch eine Datenschutzerklärung muss vorhanden sein.

Ob papiergebundene oder webbasierte Umfragen, auch hier muss der Datenschutz beachtet werden.

• Wenn möglich, konzipieren Sie Ihre Befragung so, dass diese von vornherein (wirklich) anonym ist bzw. die erhobenen Daten unmittelbar wirksam anonymisiert werden.
• Wenn Sie eine anonyme Befragung beabsichtigen: Achten Sie darauf, dass Sie die Antwortmöglichkeiten für Ihre Fragen nicht so detailliert ausführen, dass eine anonyme Beantwortung dadurch gefährdet wird. Fragen Sie also z.B. nicht nach dem genauen Geburtsdatum, wenn das Geburtsjahr (oder eine Spanne von Geburtsjahren) für Ihren Forschungszweck ausreichen würde. Prüfen Sie kritisch, ob sich bei Betrachtung der Gesamtheit Ihrer Fragen evtl. eine zu kleine Gruppe mit gleichen Antworten ergeben könnte (das sollte nicht passieren).
• Bei der Nutzung von Web-basierten Umfrage-Tools werden in der Regel bereits beim Aufruf der Fragebogenseite die IP-Adresse der Teilnehmer*innen an den Befragungsdienstleister übermittelt. Nutzt daher die Möglichkeiten, die die TU Hamburg anbietet (https://www.tuhh.de/rzt/services/webserver/limesurvey/datensicherheitserklaerung.html). Sollten dennoch externe Dienstleister verwendet werden, kontaktiert die Datenschutzkoordinator*in
• Wenn eine anonyme Befragung nicht möglich ist (z.B., weil Längsschnittstudie durchgeführt werden soll oder es einen anderen Grund gibt, aus dem Sie Ihr Forschungsziel nicht mit einer anonymen Befragung erreichen können), greifen die Formalien des Datenschutzes (Informationspflichten, Verarbeitungsverzeichnis, etc.). Wenden Sie sich bitte frühzeitig an die Datenschutzkoordination und informieren Sie sich hier: hh-datenschutz.de/themen/forschung  
• Spezialfall: Befragungen von Kindern oder Jugendlichen müssen gesondert beachtet werden, da hier eventuell das Hamburgische Schulgesetz sowie die Einwilligung der Sorgeberechtigten beachtet werden muss!

Umfragen werden oft als aufwendig wahrgenommen und brauchen einen Anreiz, um Personen zur Teilnahme zu motivieren. Eine Möglichkeit hierfür ist, eine Verlosung für die Teilnehmenden anzubieten. Dafür müssen jedoch regelmäßig personenbezogene Daten, wie z.B. E-Mail-Adressen oder Anschriften erhoben werden. Aber wie kann dies geschehen, ohne dass diese Daten direkt mit den Antworten der (anonymen) Umfrage verknüpft und auch die Vorgaben des Datenschutzes berücksichtigt werden?

Bei Umfragen in Papierform genügt es, einen separaten Zettel beizulegen, auf dem die E-Mail-Adresse oder Anschrift abgefragt wird. Die Teilnehmenden können diesen Zettel dann getrennt von der Umfrage zurückgeben. Wichtig ist, dass die Teilnehmenden selbst entscheiden können, ob sie ihre E-Mail-Adresse oder ihre Anschrift angeben möchten.

Bei Online-Umfragen sollten die Kontaktdaten getrennt von den Umfrageantworten gespeichert werden, idealerweise in einer eigenen Datenbank oder in einer von den Umfrageergebnissen separaten Datei. Es ist wichtig, darauf zu achten, dass in diesem Fall kein Zeitstempel zusammen mit den Kontaktdaten gespeichert wird, da ansonsten eine Zuordnung über einen solchen möglich wäre. Um die Anonymität der Umfragedaten zu wahren, kann die Teilnahme an der Verlosung durch einen separaten Link, der am Ende der Umfrage angezeigt wird, erfolgen.

Unabhängig davon, ob die Umfrage in Papierform oder digital durchgeführt wird: Sobald E-Mail-Adressen oder weitere personenbezogene Daten für eine Verlosung im Rahmen einer (anonymen) Umfrage erhoben werden, müssen auch die Informationspflichten gemäß Art. 13 DSGVO erfüllt werden!

Achtung: Falls Drittanbieter genutzt werden, die sich auf Umfragen und Verlosungen spezialisiert haben, ist darauf zu achten, dass in den meisten Fällen ein Auftragsverarbeitungsvertrag geprüft und abgeschlossen werden muss.

Tipp: Bei einer Datenerhebung für eine Verlosung sollten die Teilnehmenden an der entsprechenden Stelle (zum Beispiel bei der Eingabe ihrer Kontaktdaten) klar über die Verwendung der Daten informiert werden. Der Text kann wie folgt aussehen:

[…Hinweis zur Datenerhebung für die Verlosung

Vielen Dank, dass Sie an unserer Umfrage teilnehmen! Um an der Verlosung teilzunehmen, benötigen wir Ihre E-Mail-Adresse. Ihre E-Mail-Adresse wird ausschließlich für die Durchführung der Verlosung verwendet und nach deren Abschluss gelöscht.

Datenschutz:

• Ihre E-Mail-Adresse wird vertraulich behandelt und nicht an Dritte weitergegeben.
• Die Teilnahme an der Verlosung ist freiwillig. Sie können die Umfrage auch ohne Angabe Ihrer E-Mail-Adresse abschließen.
• Die erhobenen Daten dienen nur zur Kontaktaufnahme im Falle eines Gewinns und werden nach Beendigung der Verlosung innerhalb von [Anzahl der Tage/Wochen] gelöscht.

Mit der Angabe Ihrer E-Mail-Adresse stimmen Sie der beschriebenen Verwendung Ihrer Daten zu.

…]

Haben Sie weitere Fragen zur Umsetzung, kontaktieren sie uns gern unter datenschutz(at)tuhh(dot)de.

Bei Fotos und Videos ist wichtig, dass Sie unterscheiden zwischen Einzelaufnahmen von Personen sowie Aufnahmen von Personen in einem Gesamtbild, auf denen jedoch einzelnen Personen nicht hervorgehoben werden. In beiden Konstellationen werden personenbezogene Daten verarbeitet und deswegen sind die Vorgaben des Datenschutzes einzuhalten. Sie finden hier eine Vorlage für eine Foto-/Videoeinwilligung samt Ausfüllhilfe.

Bitte kontaktieren Sie uns vor abschließender Nutzung der Vorlage unter datenschutz(at)tuhh(dot)de, damit die Dokumente auf ihre Datenschutzkonformität hin überprüft werden können.